Плагины безопасности для WordPress. Что нужно знать о безопасности WordPress? Как закрыть брешь в безопасности на данный момент

Сегодня взлом WordPress представляет собой довольно опасную распространенную проблему. Мне кажется, что из 10 блогеров примерно 6 подвергаются либо взлому их сайта, либо заражаются вредоносным ПО.

Все больше просмотров набирают записи на тему того, как избежать взлома WordPress, и каждый день появляется все новый материал. Многие читатели спрашивают о том, как им защитить себя. Итак, сегодня я хочу предложить вам детальный рассказ обо всем, что я знаю о том, как предотвратить взлом сайта на WordPress и избежать заражения вредоносным ПО.

После того, как разберетесь с паролями в cpanel, пришло время изменить пароль на вход в WordPress. Опять же, я рекомендую вам использовать уже что-то новое, уникальное. Кстати, чтобы не забыть пароли и хранить их в надежном месте, я рекомендую использовать менеджер паролей Касперского — Kaspersky Password Manager , он мне сильно упростил жизнь т.к. сам автозаполняет формы авторизации на сайта и в программах и шифрует всю базу паролей. Считаю, что не зря потратил на него 900 рублей 😉

Создаем резервную копию всего блога на WordPress

Это самый важный этап, и его нельзя игнорировать. Я помню, как общался со специалистом по безопасности в интернете, и он сказал мне, что можно даже не бояться ничего, если в запасе есть резервная копия сайта. Я тогда замер на мгновение, и эта фраза отложилась у меня в памяти, потому что резервной копии у меня не было… Благо на тот момент мой блог был совсем маленьким, но я попытался представить, какой плачевной была бы ситуация, если бы это был блог с тоннами информации и контента.

Хотя на большинстве хостингов делают резервные копии информации с серверов, все же лучше подстраховаться. Здесь я приведу ссылку на статью Сергея, автора блога max1net.com . Там, подробная инструкция по регулярному бэкапу сайта.

Устанавливаем плагины безопасности

Теперь, когда у вас есть полная резервная копия вашего блога на WordPress, вам можно не беспокоиться о чем-либо, так как вы всегда сможете восстановить нормальную версию. Теперь пришло время разобраться с плагинами для безопасности сайта.

1. WP Security Scanner

Это облегченный сканер от Website Defender. Установите его и просто пройдите по этапам. Здесь есть опция, позволяющая вам переименовать приставку таблиц в базе данных. Измените ее на что-то, что будет сложно угадать. Обычно WordPress устанавливается с приставкой wp_. Это облегчает хакерам задачу по выявлению слабых баз данных, посредством которых можно реализовать проникновение.

Better WP Security включает в себя лучшие функции безопасности WordPress. Этот плагин способен предложить вам практически все необходимое, и он должен быть плагином №1 у каждого блогера. Спросите «почему?». Да потому что посредством всего одного клика вы сможете активировать многие необходимые функции безопасности системы для продвинутых пользователей, плагин сам создаст и модернизирует.htaccess таким образом, чтобы повысить безопасность вашего блога. Вам не придется вручную создавать.htaccess и заботиться о кодах. Позвольте плагину сделать все за вас.

После установки и активации плагина, нам нужно будет сделать еще кое-что. Прежде всего, вам нужно будет в один клик включить «secure from basic attack», и посмотреть, сколько зеленых и синих пунктов вам будет отображено. Оба цвета сообщают, что все ок! Зеленый цвет отвечает за отличную защиту, а синий как бы говорит вам, что вы можете сделать этот пункт зеленым, но тогда не будут работать некоторые плагины и поэтому можно оставить все на своем месте. Красный же цвет говорит об опасности.

Теперь кликните по вкладке «hide backend» и включите эту опцию. Функция «hide backend» изменяет URL, по которой вы можете осуществить доступ к внутреннему интерфейсу WordPress.

Если вы только что установили свежую версию WordPress, то я рекомендую вам кликнуть по вкладке «Content Directory», и изменить название директории. Это прибавит еще один уровень безопасности. Но делать это стоит только если ваш блог абсолютно новый! Помните, что если вы измените директорию на уже работающем блоге, то большинство ссылок перестанет работать.

Основная задача здесь заключается в том, чтобы изменить коды для повышения безопасности. Поиграйте с опциями, и посмотрите, какой вариант вам подходит больше всего. Например, я могу изменить все синие пункты на зеленые, так как это не повлияет на работу моего блога или установленных плагинов. Тем не менее, те же настройки могут существенно сказаться на работе вашего блога или установленного шаблона. Как я уже и сказал, здесь отлично работает метод проб и ошибок. Я сегодня рассказал вам о важных шагах, и только от вас зависит – сделаете вы их или нет.

Скачиваем.htaccess и robots.txt

Вердикт

Я даже не знаю, радоваться мне или горевать по поводу того, что мои блоги взламывают и подвергают заражению. Иногда я думаю, что если бы мой блог не был взломан, то я бы и не задался идеей написать подобную статью, и тогда мои читатели бы не узнали о моем опыте, ведь все, что я пишу – это мой личный опыт и пройденные этапы в жизни и нашем общем деле. Как я уже говорил ранее, не существует полноценного гарантированного способа защитить ваш блог, но если предпринимать хоть какие-нибудь шаги для его защиты – у вас все получится. У вас уйдет не больше пары часов на то, чтобы поделать все, что описано в этой статье, и в дальнейшем это принесет вам огромную выгоду! Теперь идите, и защищайте свой блог от злодеев!

Если вы постоянно обновляете свой WordPress, вы уже участвуете в повышении безопасности своего сайта. Но этого мало. О безопасности WordPress нужно начинать думать, с момента ее установки. Кстати, для безопасности обновлять систему лучше автоматически, используя обновление из панели администратора.

Безопасность WordPress на этапе установки

При установке вы меняете файл wp-config.php , не забудьте установить ключи безопасности.

На странице установщика, с вводом данных администратора сайта, обязательно поменяйте имя администратора, с admin, на любое другое имя. Также генерируйте сложный пароль для авторизации администратора. Ограничений по количеству знаков в пароли нет. Используйте в пароле буквы, цифры, знаки препинания. Чем сложнее пароль, тем лучше. Попробуйте генератор паролей: http://randstuff.ru/password/

Эти меры безопасности, лежат на поверхности, и ими не стоит ограничиваться, если радеете за безопасность своего веб-приложения.

Повышаем безопасность WordPress в его каталоге.

Права CHMOD

Права CHMOD это права доступа к файлам и каталогам вашего сайта. По умолчанию, после установки системы, устанавливаются права CHMOD на файлы 644, на каталоги 755.

Никогда не оставляйте права CHMOD 666 и 777. Тем самым вы сами откроете доступ к каталогам и файлам своего сайта.

Включите SFTP вместо FTP

Работая с сайтом WordPress вам не обойтись без соединения с каталогом сайта по FTP. Об уязвимости FTP соединений знают уже 23 года. Одни безопаснее, другие опаснее для взлома.

• Не используйте анонимное соединение по FTP, оно небезопасно. Для соединения аккаунт FTP клиента должен иметь имя, и пароль доступа. Создается FTP аккаунт в административной панели сервера (хостинга).
• Для безопасности, лучше использовать не FTP, а SFTP соединение для передачи данных на сервер сайта.

Начните использовать безопасный протокол передачи файлов (SFTP) вместо FTP при доступе к сайту. Подключение по SFTP простое, и хорошие веб-провайдеры должны включать его по умолчанию. Все, что вам нужно сделать, это попросить в support своей хостинг компании, номер порта для шифрованного соединения SFTP, а затем измените настройки в вашем FTP приложении (на фото программа FileZilla). Скорее всего, это порт: 22.

Можно не обращаться к провайдеру, а попробовать соединиться по SFTP самостоятельно. FTP приложение, будет использовать для шифрованного соединения порт не 21, а 22. Если на хостинге SFTP соединение разрешено, то после вашего разрешения, вы соединитесь по SFTP со своим сервером.

Сделайте безопасным файл wp-config.php

Содержит слишком много «секретной» информации, чтобы оставлять его без защиты. Об установке ключей безопасности и переименовании префикса «wp_» таблиц базы данных, я уже сказал. Все эти изменения отразятся в файле wp-config.php .

Теперь спрячем файл wp-config.php .

Вариант 1. Система WordPress, с версии 2.6, если не находит файл wp-config.php в корневом каталоге сайта, автоматически ищет его в каталоге высшего уровня. Если находит его там, то без проблем открывает сайт и его административную часть.

Поэтому, если вы пользователь на сервере сайта, с допуском к каталогу высшего уровня, то смело перемещайте Файл wp-config.php в каталог выше корневой папки сайта. Если у вас такого допуска нет, то при попытке переместить этот файл по FTP, у вас получится неудавшаяся передача файлов.

Приведу пример.

• Корневая папка сайта тут: /domains/domen.ru/public_html;
• Каталог высшего уровня тут: /domains/domen.ru/.
• Права пользователя выставляются в панели хостинга (сервера), при создании FTP аккаунта, фото:

Перетягиваете wp-config из корневого каталога в папку домена .

Вариант 2. Если у вас нет доступа к каталогу высшего уровня, защитите файл wp-cofig в файле.htaccess . Этот файл вы должны были создать после установки WP, из файла htaccess.txt .

Вставьте в верх файла.htaccess такие строчки:

Следите, чтобы файл wp-config.php и.htaccess были в одной папке.

Вариант3. Если на сервере есть SSL шифрование данных, то можно добавить в файл wp-config.php следующую строку:
define("FORCE_SSL_ADMIN", true);e>
Она включит шифрование для админки WP.

Маскируем другие папки WordPress

В каталоге WordPress две основные папки, которые интересны взломщикам: wp-content/themes/ и wp-content/plugins/.

Попробуйте открыть в браузере эти папки, то есть введите в адресную строку:

• Ваш-домен/ wp-content/plugins/ , затем;
• Ваш-домен/wp-content/themes/.

Если вы видите белый лист или 404 ошибку, то ваши папки защищены.

Если вы видите список каталогов и файлов, то папки открыты для всех.

Чтобы их замаскировать создайте пустой файл Index.html и положите его по FTP в эти папки. Это замаскирует эти папки, но не спрячет от продвинутых взломщиков.

Защитить их можно строкой: Options -Indexes , добавленную в конец файла.htaccess . После добавления строки, сделайте контрольную проверку. Вы должны попасть на 404 страницы.

Важно! Все защиты в файле.htaccess , имеют место, если вы не используете плагины безопасности на своем WordPress, а пытаетесь защититься самостоятельно.

Другая защита безопасности WordPress

Удалите пользователя с именем admin. Если под этим именем писались статьи, то сделайте следующее:

• Входите на вкладку: Пользователи;
• Создаете нового администратора;
• Удаляете администратора: admin. При удалении admin, перенаправляете все публикации admin на нового администратора.

• Уберите с сайта виджет «Мета» с прямой регистрацией пользователей. Замените «Мета» на подписку по email;
• Для параноиков: отмените регистрацию пользователей вообще. Вкладка→Настройки→Общие→Членство (очистить чекбокс).

WordPress является, несомненно, самым популярным CMS и из-за его популярности, хакеры, как правило, нацелены на такие блоги. Плагины безопасности WordPress помогут Вам повысить уровень безопасности своего веб-сайта .

iThemeSecurity является одним из самых популярных и лучших плагинов WordPress безопасности. Плагин дает вам 30 + способов защиты вашего сайта WordPress от вредоносных атак. Он закрепляет учетные данные пользователя, фиксируя общие лазейки и хорош против автоматизированных атак. Плагин доступен в бесплатных и платных версиях. Оба имеют ту же функцию, но полная версия включает несколько функций, таких как двухфакторной аутентификации, ID запрещении и регистрации действий пользователя.

Основные функции

• Создает резервную копию файлов базы данных до обеспечения вашего сайта.
• Предотвращение атаки взлома, заблокировав всех пользователей, которые пытаются получить доступ к веб-сайта при неудачных попытках входа в систему.
• Мониторит ваш сайт и записывает все изменения, внесенные в систему баз данных и файлов.
• Блокирует всех пользователей, которые могут добавить вредоносный код на вашем сайте или могут попытаться получить доступ к сайту. Это позволяет только администратору, чтобы получить доступ к веб-сайт несколько раз.

У меня на сайте стоит именно этот плагин.

All in one WP security and Firewall

All in one WP security and Firewall является наиболее полным плагин WordPress безопасности. Этот плагин защищает свой сайт, проверяя уязвимости и реализации новейших методов и мер безопасности.

Основные функции

• Обеспечивает три безопасности уровни – начальный, средний и продвинутый . Если вы используете первый уровень безопасности, то вы в безопасности, и это одновременно это не нарушает функциональность вашего сайта, но если вы используете средний и продвинутый уровень безопасности, это может нарушить работу вашего сайта в зависимости от настроек.
• Можно включить функцию, которая блокирует пользователя, которые пытаются получить доступ к веб-сайта после неудачных попыток входа в систему. Вы можете просмотреть список всех заблокированных пользователей.
• Плагин может держать вас в курсе, какой уровень вашей безопасности.
• Предупредит Вас, если любой из ваших файлов WordPress изменяется и может блокировать их сразу с помощью одного клика.

Wordfence – это еще один ведущий модуль безопасности WordPress с более чем 2,5 миллионами загрузок. Плагин сканирует взломанные файлы и контролирует доступ посетителей на свой блог. Плагин включает в себя брандмауэр, антивирусное сканирование и новый кэш, что обеспечивает свой блог от вредоносных атак.

Основные функции

• Мониторинг блога от роботов, которые пытаются влиять на ваш сайт и постоянно сканирует ваш блог.
• Есть возможность восстановления файлов ядра вашего блога WordPress. Эта функция доступна в свободной и премиум версиях.
• Сканирует сообщения, комментарии и вредоносные URL-адреса.

Вам не нужно вводить ключ API в бесплатной версии, но если вы захотите обезопасить свой сайт еще больше, то вы можете также попробовать премиум-версию этого плагина. Премиум версия этого плагина включает двухступенчатую аутентификацию, блокирование страны, запланированное сканирование и другое.

Еще один популярный плагин, чтобы обеспечить свой сайт WordPress является BulletProof Security. Этот плагин позволяет защитить папку WP-админ вашего сайта WordPress. Этот плагин обеспечивает ваш сайт от RFI, CRLF, XSS, внедрения кода и hackings SQL инъекций.

Основные функции

• Плагин использует.htaccess защиту безопасности, которая защищает много файлов WordPress включая WP-cofig.php, php.ini и т.д.
• Обеспечивается функция записи числа попыток входа. Если кто-то пытается войти в свой админ-панели, он ведет учет всех попыток входа и пользователя, которые пытаются получить доступ к сайту.
• Он также предоставляет некоторую информацию для ваших посетителей, когда ваш сайт находится в режиме обслуживания.
• Он также предупреждает вас о вредоносной активности, происходящей с вашего сайта.

Google Authenticator

Google Authenticator является одним из самых популярных плагинов безопасности для WordPress. Он предлагает вам двухступенчатую аутентификацию с помощью Google Authenticator приложение для iPhone, Blackberry и Android. Вам понадобится смартфон или любое другое устройство, чтобы использовать Google Authenticator приложение, потому что этот плагин приложение работает на приборной панели и смартфоном одновременно.

Основные функции

• Включена 2-ступенчатая аутентификация.
• Создается новый секретный ключ каждый раз, чтобы избежать рисков.
• Позволяет вам задать любое имя, которое будет отображаться в Google Authenticator приложении.

После того, как вы установили и настроили этот плагин на свой блог WordPress, вы можете установить QR-код с помощью секретного ключа. Затем надо скачать Google Authenticator приложение на свой смартфон или любое другое устройство и ввести QR код. После того, как вы введете QP код, смартфон свяжет свой блог WordPress с помощью мобильного приложения.

При входе в вашу админпанель необходимо будет открыть Google Authenticator приложение в смартфоне. Оно будет генерировать код, который вы должны ввести в соответствующем поле Google Authenticator в приборной панели при попытке войти.

Sucuri Security – очень популярный плагин безопасности, который предлагает вам мониторинг сайта, удаление вредоносных программ, и многие другие услуги для вашего сайта WordPress. Плагин обнаруживает большое количество вредоносных программ, спама, черные списки и многие другие вопросы безопасности.

Основные функции

• Позволяет сканировать все WordPress основные файлы для обнаружения изменений в этих файлах.
• Предлагает вам функцию последнего входа, позволяющую видеть последнего входа пользователя, в том числе авторизации времени, даты и IP-адреса.
• Может предоставить вам после взлома вариант, который позволит вам изменить все – имя пользователя, пароли, когда ваш сайт взломали, чтобы обеспечить более высокий уровень безопасности.

Это моя очередная попытка, чтобы помочь Вам сделать ваш блог безопасным. Если Вы хотите обойтись без плагинов безопасности , то в статье я рассказывала как это сделать. А какие шаги вы принимаете, чтобы обеспечить безопасность своего веб-сайта ?

Возможно Вам будет это интересно